Не лечится до конца

Printable View

Показывать 40 сообщений этой темы на одной странице

13.10.2009, 10:02
Deniz_S

Не лечится до конца

Здраствуйте! Такая проблема. Лечили комп от вирусов, вроде всё вычистили, но при подключении к инету опять появляются файлы autorun.inf, всякие kht, khr ... и куча *.exe шников с непонятными названиями. Логи прилагаю.
13.10.2009, 10:12
Белый Сокол

[U]Отключите восстановление системы![/U]

[B]Выполните скрипт в AVZ [/B](AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\System32\BCMLogon.dll','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\btwhid.sys','');
QuarantineFile('C:\autorun.inf','');
DeleteFile('C:\autorun.inf');
DeleteFile('C:\System Volume Information\_restore{1EA43A15-734A-469E-B042-4257C144D31A}\RP325\A0192643.exe');
DeleteFile('C:\System Volume Information\_restore{1EA43A15-734A-469E-B042-4257C144D31A}\RP325\A0192627.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.

После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "[B][COLOR="Red"]Прислать запрошенные файлы[/COLOR][/B]" над первым сообщением темы).

Готовьте новые логи.

Это ваши адреса?
[code]O17 - HKLM\System\CCS\Services\Tcpip\..\{9A87E290-5553-44D2-B97F-9C069294F709}: NameServer = 85.255.116.118 85.255.112.113[/code]
13.10.2009, 10:24
Deniz_S

карантин загрузила, адреса не мои
я их уже фиксила при чистке компа, опять вылезли ;(
логи все делать?
13.10.2009, 10:25
Белый Сокол

Карантин принят. Логи нужны все.
13.10.2009, 11:24
Deniz_S

новые логи

кстати файлов kh* стало уже 4, а *.exe шников 3 + авторун

гмер сделать?
13.10.2009, 11:30
Белый Сокол

[U]Отключите восстановление системы![/U]

[B]Выполните скрипт в AVZ[/B] (AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\autorun.inf','');
QuarantineFile('C:\suowwf.exe','');
QuarantineFile('C:\WINDOWS\system32\fxsevent.dll','');
DeleteFile('C:\suowwf.exe');
DeleteFile('C:\autorun.inf');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.

После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "[B][COLOR="Red"]Прислать запрошенные файлы[/COLOR][/B]" над первым сообщением темы).

Пофиксите:
[CODE]O17 - HKLM\System\CCS\Services\Tcpip\..\{9A87E290-5553-44D2-B97F-9C069294F709}: NameServer = 85.255.116.118 85.255.112.113[/CODE]
Просканьте ПК при помощи [URL="http://www.freedrweb.com/cureit/"]CureIt![/URL].

После этого подготовьте новые логи.
13.10.2009, 11:33
Deniz_S

скрип помещает в карантин 1 ехешник, добавить туда остальные 2?
13.10.2009, 11:38
Белый Сокол

Да, пожалуйста.
13.10.2009, 12:26
Deniz_S

карантин загружен

[QUOTE=Белый Сокол;485196]
Пофиксите:
[CODE]O17 - HKLM\System\CCS\Services\Tcpip\..\{9A87E290-5553-44D2-B97F-9C069294F709}: NameServer = 85.255.116.118 85.255.112.113[/CODE]
[/QUOTE]
фиксю каждый раз - после перезагрузки появляется

[size="1"][color="#666686"][B][I]Добавлено через 6 минут[/I][/B][/color][/size]

проверка антивирем - вирусов не найдено

готовлю логи

[size="1"][color="#666686"][B][I]Добавлено через 28 минут[/I][/B][/color][/size]

пока сканируется АВЗ - в корневике опять появились авторун и 1 ехешник
13.10.2009, 13:04
Deniz_S

вот логи, во время сканирования вылезла ошибка svchost.exe
13.10.2009, 13:11
Rene-gad

Сделайте [URL="http://virusinfo.info/showthread.php?t=53070"]лог Mbam[/URL], программу Mbam не закрывайте и не перегружайтесь.
Лог прикрепите к сообщению.
13.10.2009, 13:22
Deniz_S

не могу скачать этот файл, ссылка [url]http://www.malwarebytes.org/mbam-download.php[/url] не открывается, пишет сервер не найден
13.10.2009, 13:24
Белый Сокол

+ к совету [B]Rene-gad[/B]

Очистите временные папки с помощью [URL="http://virusinfo.info/showthread.php?t=10025"]одного из этих методов[/URL]. Включите отображение скрытых файлов и папок и вручную посносите выжившие временные файлы (особенно экзешники вида 806.exe). Файлы в корне диска вида suowwf.exe также сносить вместе с авторанами (будьте осторожны при удалении файлов в корне диска!)

MBAM во вложении:
13.10.2009, 15:03
Deniz_S

вот лог МВАМ
13.10.2009, 15:09
Rene-gad

Оставьте эти:
[CODE]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify
C:\Program Files\DrWeb\data\zip_gui32.dsfx
C:\Program Files\DrWeb\data\zip_gui_pz.dsfx
C:\Program Files\DrWeb\data\zip_gui_tc_zip_sfx.dsfx
C:\Program Files\DrWeb\data\zip_gui_wr_drupdate.dsfx
C:\Program Files\WinRAR\Patch.exe
C:\Program Files\WinRAR\Unblack.exe[/CODE]
Остальные удалите с помощью Мбам.
Перегрузитесь, повторите логи Мбам и Хайджека.
13.10.2009, 15:24
Deniz_S

лог hijackthis после перезагрузки, а МВАМ полную проверку делать? а то очень долгая она ;(
13.10.2009, 15:32
Deniz_S

вот что дает быстрая проверка МВАМ ;((( опять TCP вылезло
13.10.2009, 15:37
Rene-gad

[QUOTE=Deniz_S;485369]МВАМ полную проверку делать? а то очень долгая она ;( [/QUOTE]Да. Повторите удаление. Если нет времени на лечение - сделайте format c:\ - будет быстрее... 8)

По ссылке Белого Сокола очистку делали? Если нет - сначала очистку, потом Мбам.
13.10.2009, 15:43
Deniz_S

очистку делала, почистила все что смогла, запускаю МВАМ (за формат меня просто повесят) :dash1:
13.10.2009, 16:05
Rene-gad

[QUOTE=Deniz_S;485387](за формат меня просто повесят) [/qUOTE]
Двум смертям не бывать, а одной не миновать... ©

[flood]Меня бы напр. повесили за то, что я 7 часов безрезультатно пытаюсь ПК от вирусов очистить. А вот учёные N-ского зоопарка проверили: Установка Виндовс заняла у самки шимпанзе Джудди 1,5 часа....
PS: в первый раз меня бы расстреляли за неустановку Сервис Пака 3 и обновлений...[/flood]
13.10.2009, 18:20
Deniz_S

МВАМ оставила на ночь... (комп рабочий)

А переустановка винды грозит вызовом специалиста из столицы ибо стоит специализированная прога. Из-за этого они скорее предпочтут работать так как есть, отодвигая ошибку svchost.ехе в сторонку... Сказала бы я что про них думаю, но :censored: "Клиент всегда прав" ©
14.10.2009, 12:41
thyrex

Это данные о Вашем провайдере?
[QUOTE]organisation: ORG-PL87-RIPE
org-name: [B]Promnet Ltd.[/B]
org-type: LIR
address: Ekaterinenskaja str., 41, 65000, [B]Odessa, Ukraine[/B]
e-mail: [email][email protected][/email]
mnt-ref: PROMNET-MNT
mnt-by: PROMNET-MNT
source: RIPE # Filtered
mnt-by: RIPE-NCC-HM-MNT[/QUOTE]
15.10.2009, 21:57
Deniz_S

нет, это данные не о нашем провайдере. Я живу в [COLOR="Red"]г. xxxx, респ. Бxxxxx, провайдер Бxxxxxxx[/COLOR]
вот последний лог МВАМ
15.10.2009, 23:40
thyrex

[CODE]C:\autorun.inf (SuspectAutorun.Rootdrive.H) -> No action taken.[/CODE]
Нужно в MBAM удалить

Потом лог HiJack сделайте еще раз
16.10.2009, 12:32
Deniz_S

вот лог
16.10.2009, 13:36
thyrex

Поищите C:\WINDOWS\system32\winulty.exe и, если найдется, пришлите согласно [B]Приложения 2[/B] правил
16.10.2009, 13:59
Deniz_S

Файл сохранён как 091016_135906_virus_4ad843eacfdbf.zip
Размер файла 105865
MD5 06b0b17b27ef34e614f9fc468609383f
16.10.2009, 14:07
Rene-gad

Файл чистый и дигитально подписанный производителем.
А какие ещё жалобы есть?
16.10.2009, 14:50
Deniz_S

левых файлов вроде пока нет, но ошибка svchost осталась ;`(
16.10.2009, 14:51
Rene-gad

- Установите Сервис Пак 3 - возможно потребуется активация, и все последующие важные патчи.
Перед установкой Сервис Пака необходимо выгрузить [B][COLOR="Red"]все защитные приложения[/COLOR][/B] (антивирус, файрвол а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
- Установите [URL="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]IE 8[/URL].
16.10.2009, 20:23
thyrex

Повторная проверка показала, что файл таки опасен

Выполните скрипт в AVZ
[code]begin
DeleteFile('C:\WINDOWS\system32\winulty.exe');
ExecuteSysClean;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Сделайте новые логи
20.10.2009, 14:38
Deniz_S

скрипт выполнен - вот логи
20.10.2009, 14:52
Rene-gad

[url]http://virusinfo.info/showpost.php?p=486982&postcount=24[/url] ;)
20.10.2009, 15:57
Deniz_S

воть:>
20.10.2009, 16:02
Rene-gad

[QUOTE=Deniz_S;489704]воть:>[/QUOTE]а остальные логи?
20.10.2009, 23:21
Deniz_S

[QUOTE=Rene-gad;489645][URL]http://virusinfo.info/showpost.php?p=486982&postcount=24[/URL] ;)[/QUOTE]

тут просють только HiJac, остальные выше - я же только авторун удалила - autorun.inf и autorun.pnf

[size="1"][color="#666686"][B][I]Добавлено через 6 минут[/I][/B][/color][/size]

кстати вопрос, в логах АВЗ нарыла
C:\WINDOWS\System32\ipbootp.dll (Активен Ключ реестра HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\IPBOOTP, EventMessageFile)

C:\WINDOWS\System32\iprip2.dll (Активен Ключ реестра HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\IPRIP2, EventMessageFile)

Это нормальные файлы?
21.10.2009, 18:00
AndreyKa

C:\WINDOWS\System32\ipbootp.dll
C:\WINDOWS\System32\iprip2.dll
этих файлов у вас нет, только записи в реестре.
Обновите базы AVZ
Проведите процедуру, описанную в первом сообщении тут: [url]http://virusinfo.info/showthread.php?t=3519[/url]
21.10.2009, 18:42
Rene-gad

[QUOTE=Deniz_S;490023]тут просють только HiJac[/QUOTE]No, Madam.
[QUOTE]Нужно [COLOR="Red"]в MBAM[/COLOR] удалить[/QUOTE]
22.10.2009, 15:13
Deniz_S

Скрипт сбора подозрительных файлов

Результат загрузки
Файл сохранён как 091022_150728_virusinfo_files_BOOK_4ae03cf079f8b.zip
Размер файла 6888005
MD5 41534264bb70a58b62b2f2438b391486
Файл закачан, спасибо!

[size="1"][color="#666686"][B][I]Добавлено через 33 секунды[/I][/B][/color][/size]

[B]Rene-gad[/B], я поняла, логи делать полностью?
23.10.2009, 09:05
Deniz_S

вот полные логи

Показывать 40 сообщений этой темы на одной странице